TaaS模式下軟件資產(chǎn)的安全性研究

梅磊 石曉寧 劉鴻飛

摘要：隨著云計算技術(shù)日益成熟，軟件測試即服務(wù)模式給軟件測試服務(wù)行業(yè)帶來了巨大的影響，而云測試平臺下的軟件資產(chǎn)安全性管理已然成為TaaS模式推廣應(yīng)用的嚴(yán)重挑戰(zhàn)。通過分析國內(nèi)外現(xiàn)有的云測試軟件資產(chǎn)安全性管理辦法，同時結(jié)合資產(chǎn)安全性管理思維提出軟件資產(chǎn)安全性的管理方法，并給出具體的實(shí)踐措施與管理流程。

關(guān)鍵詞：TaaS模式;軟件云測試;資產(chǎn)安全陛;資產(chǎn)管理模型

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）22-0221-02

開放科學(xué)（資源服務(wù)）標(biāo)識碼（0SID）：

近年來軟件質(zhì)量問題日益凸顯，軟件測試的重要性也與日俱增，作為軟件研制全生命周期過程中的重要保障手段，軟件測試已成為影響軟件質(zhì)量、提高軟件產(chǎn)品可靠性和安全性的關(guān)鍵環(huán)節(jié)之一[1]。借用云計算技術(shù)新模式，以互聯(lián)網(wǎng)服務(wù)的方式為客戶提供動態(tài)可伸縮的虛擬化計算資源，在軟件即服務(wù)（ SaaS）、平臺即服務(wù)（PaaS）等云計算基本服務(wù)的基礎(chǔ)上，應(yīng)運(yùn)而生的“測試即服務(wù)”（Testing as a Service，TaaS）模式，將新型的商業(yè)模式引入傳統(tǒng)的測試行業(yè)[2]。TaaS與傳統(tǒng)軟件測試模式相比，主要特點(diǎn)如下：

（1）測試服務(wù)定制化。TaaS模式測試服務(wù)提供商可以分別針對公有及私有測試云，為使用者提供定制化的專業(yè)軟件測試服務(wù)?？蛻糁恍杞?jīng)過業(yè)務(wù)培訓(xùn)即可定制個性化服務(wù)，不僅減少客戶終端的處理負(fù)擔(dān)，而且極大降低客戶對軟件測評專業(yè)知識的依賴[1];

（2）資源配置彈性化。云測試服務(wù)通過對資源的使用情況進(jìn)行統(tǒng)計量化，在測試資源共享的基礎(chǔ)上，根據(jù)量化結(jié)果實(shí)現(xiàn)動態(tài)核算的成本模式，并依據(jù)基礎(chǔ)設(shè)施資源（包括CPU、存儲、帶寬等）的動態(tài)配置結(jié)果，彈性調(diào)整企業(yè)的維護(hù)成本和客戶使用成本;

（3）環(huán)境部署自動化。通過測試云自動配置和部署測試環(huán)境，自適應(yīng)實(shí)現(xiàn)資源調(diào)度，同時，靈活應(yīng)用虛擬化技術(shù)構(gòu)建跨平臺測試環(huán)境，以適應(yīng)多架構(gòu)、多系統(tǒng)、多數(shù)據(jù)庫的測試需求，提高測試效率[3]。

（4）過程管理科學(xué)化。應(yīng)用現(xiàn)代科學(xué)的項目管理模式，包含完整的項目管理生命周期、嚴(yán)格的保密管理規(guī)范以及標(biāo)準(zhǔn)化的軟件質(zhì)量監(jiān)控機(jī)制。

對于TaaS服務(wù)提供商而言，面臨的主要風(fēng)險都與資產(chǎn)的安全性相關(guān)，特別對于大型上市電子信息企業(yè)，敏感數(shù)據(jù)、文檔、代碼等涉及企業(yè)核心軟件資產(chǎn)的泄露都會對企業(yè)造成嚴(yán)重的經(jīng)濟(jì)損失和信用危機(jī)，因此，軟件資產(chǎn)的安全性研究已成為Ta-aS模式發(fā)展推廣的重大難題。

1 軟件資產(chǎn)安全性研究概況

構(gòu)建軟件資產(chǎn)安全性管理（ Software Asset Security Manage-ment，SASM）的基礎(chǔ)架構(gòu)和運(yùn)行流程，目的在于確定客戶在組織內(nèi)部對所有軟件資產(chǎn)的采購、分發(fā)、使用、變更、升級、維護(hù)、刪除等生命周期過程進(jìn)行有效管理、控制和保護(hù)[3]。其中的軟件資產(chǎn)的安全性研究，對降低企業(yè)軟件資產(chǎn)管理風(fēng)險，提升軟件資產(chǎn)的利用率與整體效益都有著積極成效。軟件資產(chǎn)是在軟件開發(fā)各階段的需求說明、設(shè)計實(shí)現(xiàn)與維護(hù)等過程中隨之產(chǎn)生的一系列測試數(shù)據(jù)的集合，包含在軟件資產(chǎn)共享庫中存在的軟件源代碼、客戶數(shù)據(jù)信息、設(shè)計與測試文檔的總和[4]，還包括客戶提供的待測軟件結(jié)構(gòu)信息、云測試工具數(shù)據(jù)庫、客戶組織內(nèi)部信息以及受保護(hù)的系統(tǒng)敏感數(shù)據(jù)等資源。而在某些特殊情況下，有些數(shù)據(jù)信息因受到第三方機(jī)構(gòu)的法律保護(hù)而無法進(jìn)行使用，因此測試服務(wù)提供商還要承擔(dān)信息不完整性帶來的服務(wù)質(zhì)量風(fēng)險，其中主要涉及的軟件資產(chǎn)包括文檔類、代碼類、數(shù)據(jù)類[5]。

2 云測試平臺的安全性保護(hù)

為了在云測試服務(wù)中提高軟件資產(chǎn)的安全性，要合理規(guī)避應(yīng)用TaaS平臺時帶來的安全性風(fēng)險，因平臺自身具備數(shù)據(jù)資源池化、技術(shù)虛擬化、部署分布化等特點(diǎn)，都會在軟件測試服務(wù)期間埋下安全漏洞的隱患。由開發(fā)商客戶組織測試過程的設(shè)計與規(guī)劃工作，從全局出發(fā)，充分考慮客戶需求，圍繞測試策劃、需求分析、測試設(shè)計、過程監(jiān)督以及測試審核等方面，開展云測試平臺的個性化搭建與使用。TaaS服務(wù)模式下對于云計算平臺的基礎(chǔ)測試過程與測試資產(chǎn)庫的管理而言，一套良好的授權(quán)機(jī)制和安全管理技術(shù)不可或缺，既要對客戶的登錄權(quán)限及操作內(nèi)容進(jìn)行詳細(xì)合理的設(shè)定，對每位使用云平臺的用戶、測試專家、項目管理人員等進(jìn)行身份驗證，同時建立嚴(yán)格的授權(quán)監(jiān)督管理機(jī)制，保證在云測試平臺上存儲、使用的所有資產(chǎn)均處于保護(hù)和監(jiān)督的狀態(tài)之下[6]。TaaS模式下的軟件測試往往需要擁有足夠的專業(yè)能力和技術(shù)資源來處理復(fù)雜的測試業(yè)務(wù)，云測試平臺的安全性驗證在流程與業(yè)務(wù)驅(qū)動的基礎(chǔ)上也就成為確保軟件產(chǎn)品高質(zhì)量的同時滿足軟件使用者業(yè)務(wù)需求的重要決策環(huán)節(jié)，這就對平臺的涵蓋范圍和執(zhí)行過程提出了更高的要求。

3 TaaS模式下軟件資產(chǎn)的安全性管理

為解決TaaS環(huán)境下軟件資產(chǎn)的安全性管理問題，需要從企業(yè)內(nèi)部自頂向下，分別制定企業(yè)軟件資產(chǎn)管理標(biāo)準(zhǔn)，以服務(wù)提供層和數(shù)據(jù)交互層為核心，以基礎(chǔ)服務(wù)層為底層應(yīng)用服務(wù)架構(gòu)，以應(yīng)用管理層和資產(chǎn)統(tǒng)計層為拓展服務(wù)目標(biāo)，并結(jié)合云計算技術(shù)為業(yè)務(wù)支撐，共同構(gòu)建軟件資產(chǎn)安全性管理框架。在軟件資產(chǎn)安全性管理規(guī)定中，明確各個層級之間交互時需要遵循的保護(hù)協(xié)議，例如數(shù)據(jù)交互層與基礎(chǔ)服務(wù)層之間應(yīng)使用內(nèi)部通信協(xié)議等，同時，充分考慮用戶對軟件資產(chǎn)的安全性保護(hù)需求與測試人員（內(nèi)部的自動化測試小組和外包的測試專家）對測試數(shù)據(jù)深度開放性需求[6]。

針對軟件資產(chǎn)的安全性管理框架，結(jié)合傳統(tǒng)軟件測試流程、軟件研制生命周期的管理模式，以及云測試期間產(chǎn)生的軟件資產(chǎn)，共同構(gòu)建云測試軟件資產(chǎn)安全管理模型。根據(jù)各類資產(chǎn)的交互、使用與存儲特點(diǎn)，分別在數(shù)據(jù)交互層中建立各種數(shù)據(jù)庫進(jìn)行管理，而在使用這些軟件資產(chǎn)前，云測試服務(wù)的提供商必須要建立一套旨在保障云測試軟件資產(chǎn)安全規(guī)范應(yīng)用的組織標(biāo)準(zhǔn)。下面將從不同類型軟件資產(chǎn)（數(shù)據(jù)資產(chǎn)、代碼資產(chǎn)、文檔資產(chǎn)）的管理特點(diǎn)出發(fā)，分別研究其安全性管理的具體方法。

3.1 TaaS模式下數(shù)據(jù)資產(chǎn)的安全性管理TaaS模式下，云測試軟件數(shù)據(jù)資產(chǎn)的安全可靠性問題在TaaS模式的推廣過程中，已然擺在了所有相關(guān)企業(yè)的面前。為了更好地解決數(shù)據(jù)資產(chǎn)的安全性管理問題，需要對數(shù)據(jù)資產(chǎn)進(jìn)行分類分級，以便更有針對性的按需制定管理措施。通過對數(shù)據(jù)資產(chǎn)進(jìn)行分析與整理，給出如表l所示的數(shù)據(jù)資產(chǎn)類型與安全性等級信息。

對于公有數(shù)據(jù)，其公開內(nèi)容部分在項目策劃階段已經(jīng)過多方討論確認(rèn)，因此僅對該類數(shù)據(jù)的訪問僅限、數(shù)據(jù)使用范圍、防惡意篡改等屬性進(jìn)行規(guī)定;對于用戶及服務(wù)提供商權(quán)限的數(shù)據(jù)，在云測試平臺的數(shù)據(jù)庫中要設(shè)計權(quán)限列表，對項目所有的利益相關(guān)方進(jìn)行權(quán)限劃分，以便于對操作記錄的審批或追蹤。特別地，對于多次申請數(shù)據(jù)操作未通過的情況，要加大風(fēng)險控制權(quán)重，以降低數(shù)據(jù)泄露的風(fēng)險;而對于保密等級最高的私有數(shù)據(jù)，因其敏感程度僅對極少數(shù)用戶或測試專家公開，除了常規(guī)身份驗證過程外，還須驗證數(shù)據(jù)操作的申請者與數(shù)據(jù)之間的歸屬關(guān)系，同時，禁止進(jìn)行任何形式的修改，并制定嚴(yán)苛的懲罰機(jī)制，對泄露數(shù)據(jù)的機(jī)構(gòu)或個人采取法律措施追究其責(zé)任。

3.2 TaaS模式下代碼資產(chǎn)的安全性管理

作為TaaS模式中的測試對象，對于用戶提供的軟件源代碼與可執(zhí)行文件必須保證其安全性，特別是傳統(tǒng)軟件測試過程中容易忽略的程序配置文件和軟件運(yùn)行環(huán)境的安全性隱患，都應(yīng)被納入代碼資產(chǎn)中進(jìn)行管理。主要體現(xiàn)在以下幾個方面：

知識產(chǎn)權(quán)保護(hù)。服務(wù)提供商與用戶簽訂合同時，要約定受保護(hù)代碼資產(chǎn)的內(nèi)容及使用范圍，保障代碼資產(chǎn)在合法的前提下，最大化代碼資產(chǎn)價值，提高云測試效益;

定期檢查。定期驗證代碼資產(chǎn)與運(yùn)行環(huán)境的狀態(tài)一致性和內(nèi)容的完整性，禁止代碼資產(chǎn)的非法存儲與移植拷貝，并定期進(jìn)行局部及全盤殺毒，消除病毒入侵的隱患;

執(zhí)行督促。由質(zhì)量監(jiān)督人員負(fù)責(zé)對代碼資產(chǎn)的使用狀況進(jìn)行跟蹤，定期公布代碼資產(chǎn)管理目錄，同時，由軟件資產(chǎn)負(fù)責(zé)人定期對測試組人員從代碼版本控制、出入庫登記等使用情況進(jìn)行評估與通報，保障代碼資產(chǎn)管理策略的落實(shí)。

當(dāng)TaaS模式下軟件代碼資產(chǎn)的安全性遭到破壞時，將引起極其嚴(yán)重的連鎖反應(yīng)，而隨著軟件版權(quán)概念逐漸深入，軟件企業(yè)法律意識的逐漸增強(qiáng)，云測試服務(wù)提供商必須尊重用戶提供的軟件知識保護(hù)，特別對于涉及企業(yè)專利、軟件著作權(quán)等軟件代碼資產(chǎn)的使用，要嚴(yán)制格遵循代碼資產(chǎn)使用規(guī)范。

3.3 TaaS模式下文檔資產(chǎn)的安全性管理

傳統(tǒng)軟件測試下，軟件的開發(fā)、測試過程中產(chǎn)生的需求、設(shè)計、用例以及在配置管理、質(zhì)量監(jiān)督過程中產(chǎn)生的記錄管理單據(jù)等文檔資產(chǎn)都由專人負(fù)責(zé)管理，而在TaaS模式下，所有文檔資產(chǎn)的管理方式、途徑都被轉(zhuǎn)移至線上進(jìn)行，再加上云測試平臺自身的不穩(wěn)定因素，容易導(dǎo)致文檔資產(chǎn)的泄漏、篡改等安全性事件的發(fā)生。TaaS模式下對文檔類型和內(nèi)容進(jìn)行統(tǒng)計與分析，確定文檔資產(chǎn)的安全性管理等級，然后根據(jù)文檔資產(chǎn)的分類情況，采取線上線下并行的方式對文檔資產(chǎn)進(jìn)行安全性管理。

為了合理使用文檔資產(chǎn)，測試服務(wù)提供商需要建立一套完整的、旨在保障軟件開發(fā)與測試文檔信息安全的組織規(guī)范，并在不同的測試執(zhí)行環(huán)節(jié)，與軟件組織建立相對獨(dú)立的文檔調(diào)用流程與協(xié)議，內(nèi)容應(yīng)包括保密規(guī)定與措施、使用范圍與期限以及文檔修改、銷毀等方面的要求，在經(jīng)過客戶聯(lián)合測評機(jī)構(gòu)進(jìn)行安全評估后，方可通過文檔資產(chǎn)的使用授權(quán)，同時，從權(quán)限審核、配置管理、在線監(jiān)測等方面，分類建立文檔資產(chǎn)管理數(shù)據(jù)庫，嚴(yán)格控制文檔資產(chǎn)管理的審批權(quán)，保證文檔的“嚴(yán)進(jìn)嚴(yán)出”，對于需要留存的紙質(zhì)文檔資產(chǎn)，仍交由專人負(fù)責(zé)配置管理工作，從而實(shí)現(xiàn)線上管理與共享使用，線下專人監(jiān)督與存儲維護(hù)。

4 結(jié)束語

TaaS模式已然對傳統(tǒng)軟件測試行業(yè)產(chǎn)生了巨大的沖擊，面對技術(shù)虛擬化、部署分布化、云測試自動化的目標(biāo)，通過落實(shí)完備的云測試平臺安全性保護(hù)措施，構(gòu)建云測試軟件數(shù)據(jù)、代碼、文檔資產(chǎn)的綜合型管理模式就成為解決軟件資產(chǎn)安全性管理難題的突破口，這也更符合未來軟件測試服務(wù)商業(yè)模式的發(fā)展趨勢。

參考文獻(xiàn)：

[1]張一弛，熊湘文，黃雅文，等.云計算環(huán)境下測試數(shù)據(jù)的界定與管理[J].現(xiàn)代圖書情報技術(shù)，2012（11）：16-21.

[2]王博，測試服務(wù)化系統(tǒng)平臺中項目管理功能的設(shè)計和實(shí)現(xiàn)[Dl.北京：北京郵電大學(xué)，2016.

[3]高春光，軟件的權(quán)限管理與管理信息系統(tǒng)的安全性[J].數(shù)字石油和化工，2007（8）：61-62.

[4]梅磊，劉鴻飛，董文通.基于測試過程管理的航天軟件質(zhì)量評價[J].西華大學(xué)學(xué)報（自然科學(xué)版），2019，38（6）：67-72.

[5]王文東，劉繼梅，王嵃灝，等.基于云計算環(huán)境下的軟件測試研究[Jl.電腦知識與技術(shù)，2017，13（27）：239-240，268.

[6]代艷華，基于云服務(wù)的軟件自動化測試系統(tǒng)設(shè)計及實(shí)現(xiàn)[D].北京：北京交通大學(xué)，2017.

【通聯(lián)編輯：代影】

作者簡介：梅磊（1987-），男，高級工程師，碩士，主要研究方向為軟件測試、軟件工程化。